й день
Во время дискуссии “Повышение культуры
кибербезопасности” Сергей Лебедь, руководитель службы кибербезопасности
ПАО Сбербанк, поделился безутешным выводом после учебной проверки сотрудников
на реагирование в случае фишинговых (поддельных) писем: “Если в заголовке
сообщения в адрес работников Сбербанка будет стоять “Герман Греф”, то, к сожалению,
откроют поддельное письмо 80% из адресной рассылки”.
Из забавного, Андрей Акинин, генеральный директор Web Control, порадовал слушателей,
новостью о своей, недавно опубликованной “очень хорошей статье” (почему то
сразу вспомнилась шутка: написал статью и расплакался - я так классно пишу!). И
выдал очередной афоризм в зал (после “не позволять хорошим людям делать плохие
вещи”): “специалист службы ИБ - это шериф, а не полицейский” (я тут же
попробовал перенести удачное сравнение на нашу российскую почву, получилось,
прямо скажем, не очень: “специалист службы ИБ – это участковый, а не ГИБДД-шник”.
Слайд А.Прозорова
Тема “Аутсорсинг в ИБ” получила продолжение в
виде оживлённой дискуссии на вечернем воркшопе, организованным компанией “Angara”,
под названием “Информационная безопасность в среднем и малом банке”.
Продолжение
следует...
Во время дискуссии “Повышение культуры
кибербезопасности” Сергей Лебедь, руководитель службы кибербезопасности
ПАО Сбербанк, поделился безутешным выводом после учебной проверки сотрудников
на реагирование в случае фишинговых (поддельных) писем: “Если в заголовке
сообщения в адрес работников Сбербанка будет стоять “Герман Греф”, то, к сожалению,
откроют поддельное письмо 80% из адресной рассылки”.
Из забавного, Андрей Акинин, генеральный директор Web Control, порадовал слушателей,
новостью о своей, недавно опубликованной “очень хорошей статье” (почему то
сразу вспомнилась шутка: написал статью и расплакался - я так классно пишу!). И
выдал очередной афоризм в зал (после “не позволять хорошим людям делать плохие
вещи”): “специалист службы ИБ - это шериф, а не полицейский” (я тут же
попробовал перенести удачное сравнение на нашу российскую почву, получилось,
прямо скажем, не очень: “специалист службы ИБ – это участковый, а не ГИБДД-шник”.
С большим интересом ожидалась слушателями сессия
“Возможности для атаки и практика защиты финансовых организаций”. И, забегая вперёд, эти ожидания
оправдались.
Илья Медведовский, генеральный директор Диджитал Секьюрити, поделился интересными
размышлениями на тему “Блеск и нищета пентеста в режиме Red Team, или “Не нужна
тебе, Вовка, такая машина”. Вот краткое изложение тезисов:
-не надо заниматься излишней мифологизацией
или демонизацией хакеров;
-заказчики, как правило, не уделяют должного
внимания тем ограничениям, которые необходимо предусмотреть при тестировании средств
защиты в режиме Red Team. Необходимо помнить об аккуратности в случае привлечения
Red Team. Так как, например, история с фишингом может выйти из под контроля
организации;
-возможности, задачи и приёмы злоумышленников
и Red Team несравнимы и несопоставимы;
-злоумышленники не будут особо
заморачиваться, а выберут наиболее простой путь для взлома;
-пентест – поиск уязвимостей и несчастных случаев
не бывает, в случае Red Team несчастные случаи (непредсказуемые последствия)
могут иметь место. Поэтому надо рассматривать Red Team как дополнительный элемент, не имеющий отношения к пентесту,
предназначенный для организации с уже выстроенной серьёзной защитой, для целей
контроля средств защиты и проверки их эффективности.
Живо и познавательно прошла сессия
“Аутсорсинг в ИБ...”
Слайд А.Прозорова
Тема “Аутсорсинг в ИБ” получила продолжение в
виде оживлённой дискуссии на вечернем воркшопе, организованным компанией “Angara”,
под названием “Информационная безопасность в среднем и малом банке”.
На воркшопе присутствовали поставщики решений
ИБ, а также представители 19-ти кредитных организаций. ИБ-шники из средних и
малых банков продемонстрировали, что за пределами списка банков ТОП-30 тоже есть
какая-никакая жизнь в ИБ, а финансовая отрасль на темы информационной
безопасности может разговаривать не только голосом Сбербанка, ВТБ или Банка
Открытие.
Из дискуссии для себя
выделил а) общую проблему бюджетов на ИБ в малых и средних банках; б) проблему
донесения существующих киберугроз до первых лиц банка и важности осознания в
этой связи роли ИБ в компании; в) аутсорсинг, в общем-то, используется в банках
повсеместно: это и сторонние процессинговые центры, и физическая охрана и
инкассация, и обучение сотрудников, и предоставление юридических услуг клиентам
и сотрудникам банка сторонней компанией.
Самые востребованные услуги по аутсорсингу ИБ
по итогам голосования среди представителей банков распределились следующим
образом: 1. мониторинг событий ИБ; 2. анализ защищённости; 3. анализ кода; 4.
защита от DDoS.
P.S. "Не тигр" – “уничтожительное”
выражение, используемое Р. Хайретдиновым при желании усилить сравнение в пользу
другого выражения, например, “вожак-волк, пастух - не овца” (из энциклопедии
Уральского форума).
Продолжение
следует...
Комментариев нет:
Отправить комментарий